Come Amazon Detective utilizza i dati di origine per compilare un grafico di comportamento

Per fornire i dati non elaborati per le indagini, Detective riunisce i dati provenienti da tutto l'ambiente AWS e non solo, tra cui:

• Dati di log, tra cui Amazon Virtual Private Cloud (Amazon VPC) e AWS CloudTrail

• I risultati di Amazon GuardDuty

• Risultati di AWS Security Hub

Per ulteriori informazioni sui dati di origine utilizzati in un grafico comportamentale, consulta Dati di origine utilizzati in un grafico comportamentale.

Come Detective elabora i dati di origine

Man mano che arrivano nuovi dati, Detective utilizza una combinazione di estrazione e analisi per compilare il grafico di comportamento.

Estrazione di Detective

L'estrazione si basa su regole di mappatura configurate. Una regola di mappatura fondamentalmente indica: "Ogni volta che vedi questo dato, usalo in questo modo specifico per aggiornare i dati del grafico di comportamento".

Ad esempio, un record di dati di origine di Detective in entrata potrebbe includere un indirizzo IP. In caso affermativo, Detective utilizza le informazioni in quel record per creare una nuova entità di indirizzo IP o aggiornare un'entità di indirizzo IP esistente.

Analisi di Detective

Le analisi sono algoritmi più complessi che analizzano i dati per fornire informazioni sulle attività associate alle entità.

Ad esempio, un tipo di analisi di Detective analizza la frequenza con cui si verifica l'attività eseguendo algoritmi. Per le entità che effettuano chiamate API, l'algoritmo cerca le chiamate API che l'entità normalmente non utilizza. L'algoritmo cerca anche un picco elevato nel numero di chiamate API.

Le informazioni analitiche supportano le indagini fornendo risposte alle domande chiave degli analisti e vengono spesso utilizzate per compilare i pannelli dei risultati e dei profili delle entità.